GSP1124

Descripción general

Security Command Center (SCC) es una plataforma de supervisión de seguridad que ayuda a los usuarios a hacer lo siguiente:

• Descubrir parámetros de configuración incorrectos relacionados con la seguridad de los recursos de Google Cloud
• Denunciar amenazas activas en entornos de Google Cloud
• Solucionar vulnerabilidades en recursos de Google Cloud

En este lab, empezarás a usar Security Command Center y explorarás la interfaz, los parámetros de configuración y los hallazgos de vulnerabilidades del servicio.

Actividades

En este lab, aprenderás a hacer lo siguiente:

• Explorar los elementos de la interfaz de SCC
• Definir los parámetros de configuración de SCC a nivel de proyecto
• Analizar y solucionar los hallazgos de vulnerabilidades de SCC

Requisitos previos

Se recomienda que el estudiante esté familiarizado con lo siguiente antes de comenzar este lab:

• Conocimientos básicos de conceptos de computación en la nube
• Conocimientos sobre la consola de Google Cloud
• Se recomienda conocer las clasificaciones de gravedad de los hallazgos, pero no es un requisito.

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar su lab y acceder a la consola de Google Cloud

1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab que tiene estos elementos:

   • El botón Abrir la consola de Google
   • Tiempo restante
   • Las credenciales temporales que debe usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haga clic en Abrir la consola de Google. El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ve el diálogo Elegir una cuenta, haga clic en Usar otra cuenta.

3. Si es necesario, copie el nombre de usuario del panel Detalles del lab y péguelo en el cuadro de diálogo Acceder. Haga clic en Siguiente.

4. Copie la contraseña del panel Detalles del lab y péguela en el cuadro de diálogo de bienvenida. Haga clic en Siguiente.

   Importante: Debe usar las credenciales del panel de la izquierda. No use sus credenciales de Google Cloud Skills Boost. Nota: Usar su propia Cuenta de Google podría generar cargos adicionales.

5. Haga clic para avanzar por las páginas siguientes:

   • Acepte los términos y condiciones.
   • No agregue opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No se registre para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haga clic en el Menú de navegación que se encuentra en la parte superior izquierda de la pantalla.

Activa Cloud Shell

Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud. Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. Haz clic en Activar Cloud Shell en la parte superior de la consola de Google Cloud.

Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. El resultado contiene una línea que declara el PROJECT_ID para esta sesión:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con la función de autocompletado con tabulador.

2. Puedes solicitar el nombre de la cuenta activa con este comando (opcional):

gcloud auth list

3. Haz clic en Autorizar.

4. Ahora, el resultado debería verse de la siguiente manera:

Resultado:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. Puedes solicitar el ID del proyecto con este comando (opcional):

gcloud config list project

Resultado:

[core] project = <project_ID>

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: Para obtener toda la documentación de gcloud, consulta la guía con la descripción general de gcloud CLI en Google Cloud.

Situación

Cymbal Bank es un banco minorista estadounidense con más de 2,000 sucursales en los 50 estados. Ofrece servicios completos de débito y crédito basados en una plataforma sólida de pagos. Cymbal Bank es una institución de servicios financieros heredada que se está transformando de forma digital.

Cymbal Bank se fundó en 1920 con el nombre de Troxler. El grupo Cymbal adquirió la empresa en 1975 tras haber estado invirtiendo en los cajeros automáticos de su propiedad. A medida que el banco crecía hasta convertirse en un líder nacional, puso énfasis estratégico en modernizar la experiencia del cliente tanto de forma presencial en sus sucursales como de forma digital a través de una aplicación que lanzaron en 2014. Cymbal Bank emplea a 42,000 personas en todo el país y, en 2019, registró $24,000 millones en ingresos.

Quiere integrar una plataforma centralizada de supervisión de seguridad para ayudar a supervisar amenazas y corregir vulnerabilidades en todos los recursos de Google Cloud para las aplicaciones de banca corporativa. Como Cloud Security Engineer, tu tarea consistirá en estudiar las funciones de vanguardia de Security Command Center para hacer una presentación frente al director de tecnología sobre los beneficios del servicio.

Tarea 1: Explora los elementos de la interfaz de SCC

En esta tarea, explorarás la interfaz de Security Command Center (SCC) y conocerás las funciones principales del servicio.

1. Abre el menú de navegación y selecciona Seguridad > Security Command Center > Descripción general de riesgos.

Nota: Si aparece un mensaje que dice “Crea una organización”, simplemente actualiza el navegador.

2. Desplázate hacia abajo para investigar los paneles de información que se refieren a “Nuevas amenazas a lo largo del tiempo” (New threats over time) y “Vulnerabilidades por tipo de recurso” (Vulnerabilities per resource type).

• En Amenazas, se notifica a los usuarios de Google Cloud sobre las actividades sospechosas actuales que hay en sus entornos de Google Cloud, como una cuenta de servicio que investiga sus propios permisos.
• En Vulnerabilidades, se proporciona información sobre parámetros de configuración incorrectos o vulnerabilidades de recursos, como un puerto TCP abierto o una biblioteca desactualizada que se ejecuta en una máquina virtual.

Las amenazas y las vulnerabilidades son dos tipos diferentes de clases de hallazgos que SCC usa para categorizar e informar problemas de seguridad en tu entorno. Consulta esta documentación para obtener más información sobre las clases de hallazgos.

Un hallazgo es un registro generado por SCC que proporciona detalles sobres los datos de vulnerabilidades o amenazas en el panel de Security Command Center.

3. En la tarjeta “Nuevas amenazas a lo largo del tiempo”, selecciona la pestaña HALLAZGOS POR TIPO DE RECURSO (FINDINGS BY RESOURCE TYPE).

En esa tarjeta, se enumeran las amenazas activas actuales de tu proyecto, que surgieron durante un período que se determinó en el menú desplegable “Intervalo de tiempo” (Time range), en el lado derecho del panel de información.

Nota: La cantidad de amenazas será cero porque estás en un proyecto de zona de pruebas de Google Cloud que nunca recibió un ataque. En el próximo lab Investiga y detecta amenazas con Security Command Center, te protegerás de las amenazas.

De forma predeterminada, el menú desplegable del intervalo de tiempo muestra todas las amenazas que hubo durante los últimos 7 días, pero puedes ver todas las amenazas que hubo durante los últimos 180 días.

4. Desplázate hacia abajo hasta la tarjeta Vulnerabilidades por tipo de recurso.

5. En el selector de intervalo de tiempo, selecciona Últimos 180 días (Last 180 days). Deberías obtener un resultado similar al siguiente:

Deberías ver alrededor de 76 vulnerabilidades activas enumeradas.

La mayoría de esos resultados se genera porque estamos usando la red de VPC predeterminada, que es insegura debido a su diseño. Por ejemplo, incluye reglas de firewall que otorgan acceso SSH y RDP desde cualquier dirección IP.

6. Ahora desplázate a la tarjeta Vulnerabilidades activas que se encuentra continuación.

7. Selecciona la pestaña HALLAZGOS POR CATEGORÍA (FINDINGS BY CATEGORY).

Allí, se mostrarán las vulnerabilidades del entorno organizadas según diferentes categorías de vulnerabilidades y su gravedad. Esa es una propiedad de los hallazgos que ayuda a calcular el riesgo que representa un problema para el entorno de Google Cloud.

El nivel de gravedad no puede cambiarse. Cada tipo de hallazgo tiene un nivel de gravedad que SCC estableció de manera predeterminada. A continuación, se incluye una lista de los diferentes tipos de gravedad y ejemplos comunes:

• Crítica (Critical): Por ejemplo, una sesión de shell inversa que se inició desde un Pod de GKE.
• Alta (High): Por ejemplo, un puerto SSH abierto para todo Internet (0.0.0.0/0).
• Media (Medium): Por ejemplo, se otorgó uno de los roles primitivos de IAM (propietario/editor/visualizador) a un usuario o una cuenta de servicio.
• Baja (Low): Por ejemplo, no se recopilan registros de flujo de VPC.
• Sin especificar (Unspecified): Puede aparecer en SCC, pero no es común.

Ten en cuenta que solo se brindaron ejemplos de hallazgos con diferentes niveles de gravedad. En la página sobre clasificaciones de gravedad para hallazgos, hay criterios detallados para establecer la gravedad de un hallazgo.

Nota: Ten en cuenta que los hallazgos sobre puertos RDP y SSH abiertos tienen niveles altos de gravedad.

8. Ahora selecciona la pestaña HALLAZGOS POR TIPO DE RECURSO. Así, se mostrarán las vulnerabilidades categorizadas por los diferentes tipos de recursos de Google Cloud disponibles.

Nota: Este proyecto tiene una red de VPC predeterminada, por lo que la mayoría de los hallazgos guarda relación con componentes de red, como firewalls, redes o subredes.

9. Por último, selecciona la pestaña HALLAZGOS POR PROYECTO (FINDINGS BY PROJECT). Esa pestaña es más informativa cuando usas SCC al nivel de un nodo raíz de organización o carpeta.

Nota: En el lab, tenemos acceso solo a un proyecto. Por este motivo, esa pestaña solo contiene el nombre del proyecto actual.

10. En el menú del lado izquierdo, debajo del encabezado Security Command Center, abre cada una de las siguientes pestañas y lee la descripción incluida a continuación:

• Amenazas: Incluye un resumen de los hallazgos que se clasifican como amenazas en SCC. Algunos ejemplos podrían ser los siguientes:

  • Intento exitoso de un ataque de fuerza bruta a SSH (vínculo)
  • Software de criptominería que se ejecuta en recursos de procesamiento (vínculo)
  • Se inició una sesión de shell inversa desde un contenedor de GKE (vínculo)

• Vulnerabilidades: En esta pestaña, se incluye un resumen de todos los parámetros de configuración incorrectos o los defectos en el software que podrían existir en el permiso actual (ya sea en el proyecto, la carpeta o la organización). Eso otorga un acceso más detallado a las vulnerabilidades y permite desglosar cada una de ellas. A continuación, se incluyen algunos ejemplos de vulnerabilidades:

  • Puerto MySQL abierto para todo Internet (vínculo)
  • Un rol de propietario/editor/visualizador que se asignó a un usuario o a una cuenta de servicio (vínculo)
  • Una página web o aplicación web vulnerable a ataques XSS (vínculo)

• Cumplimiento: Se muestra información sobre la compatibilidad de tu proyecto con los estándares de cumplimiento más importantes como CIS, PCI DSS y NIST 800-53, entre otros.

• Hallazgos: En esta pestaña, puedes explorar todos los hallazgos disponibles en la base de datos de SCC. Investigaremos los hallazgos y cómo trabajar con ellos en la tarea 3.

• Fuentes: Son los módulos de software que analizan la configuración de recursos de Google Cloud y supervisan las actividades actuales por medio de la lectura del archivo de registro y la verificación de procesos actuales en ejecución. Podemos decir que Fuentes son los “detectores” reales de SCC, que analizan la configuración de los recursos y publican información en SCC.

11. Ahora, en el navegador, haz clic en el botón Atrás.

Tarea 2: Configura los parámetros de SCC a nivel de proyecto

En esta tarea, aprenderás a configurar los parámetros de SCC a nivel de proyecto.

1. Haz clic en CONFIGURACIÓN en la parte superior derecha de la página Descripción general.

2. Asegúrate de estar en la pestaña SERVICIOS.

En esa pestaña, podrás configurar los parámetros de los servicios integrados de SCC, que también se llaman fuentes (“el cerebro de SCC”, como vimos en la tarea anterior). En este lab, los términos servicios y fuentes son intercambiables.

Los servicios detectan amenazas y vulnerabilidades, y le proporcionan información a SCC. La mayoría está disponible solo en la edición Premium de SCC, que es lo que tienes en este lab.

A continuación, se detallan los servicios integrados que puedes configurar:

• Security Health Analytics (SHA): Encuentra y también informa parámetros de configuración incorrectos de recursos (registros inhabilitados, permisos adicionales de IAM y servicios expuestos públicamente). Esto es lo que tenemos actualmente habilitado en nuestro proyecto y lo que detectó las 76 vulnerabilidades.
• Web Security Scanner (WSS): Escanea aplicaciones web disponibles públicamente que están expuestas a través de direcciones IP externas y verifica vulnerabilidades de OWASP Top 10. Tendrás la oportunidad de usar este servicio en un lab posterior.
• Container Threat Detection (CTD): Puede detectar los ataques más comunes en el entorno de ejecución del contenedor en un Container-Optimized OS (también se mostrará en un lab posterior).
• Event Threat Detection (ETD): Proporciona análisis de amenazas basados en registros, que supervisan continuamente registros de Google Workspace y Google Cloud con el objetivo de analizar en busca de amenazas potenciales.
• Virtual Machine Threat Detection: Analiza la memoria de instancias de VM a nivel de un hipervisor y puede detectar actividades sospechosas en la memoria de las VMs. Los ejemplos son módulos de kernel inesperados o software que ejecuta criptominería.
• Detección rápida de vulnerabilidades (RVD): Es un escáner de redes y aplicaciones web que no necesita configuración y que analiza de manera activa extremos públicos para detectar vulnerabilidades que tienen una alta probabilidad de explotación.

3. Haz clic en el vínculo ADMINISTRAR CONFIGURACIÓN de Security Health Analytics.

4. Haz clic en la pestaña MÓDULOS.

Los módulos son unidades predefinidas o personalizadas de lógica de detección. Como puedes ver, SCC brinda muchos tipos de módulos que pueden ayudar a detectar diferentes parámetros de configuración incorrectos de recursos. Además, facilita la habilitación y la inhabilitación de distintos tipos de módulos para respaldar tu postura de seguridad y los recursos que quieres supervisar.

5. En el filtro, escribe VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED.

6. Selecciona Habilitar en el menú desplegable Estado.

Security Health Analytics ahora verificará si la propiedad enableFlowLogs de las subredes de VPC falta o si se estableció en falso.

Nota: SCC demora en empezar a analizar recursos cuando se usa un módulo recién habilitado.

Ahora que conoces los distintos servicios de Security Command Center y sabes cómo configurarlos, identificarás y corregirás una vulnerabilidad con SCC.

Tarea 3: Analiza y soluciona hallazgos de vulnerabilidades de SCC

En esta tarea, aprenderás a administrar y mitigar hallazgos de vulnerabilidades.

1. Abre el menú de navegación y selecciona Seguridad > Security Command Center > Descripción general de riesgos.
2. En el menú de la izquierda, selecciona la pestaña HALLAZGOS.
3. Establece el selector de intervalo de tiempo en la esquina superior derecha en Todo el período.

4. En la esquina superior izquierda de la pantalla, busca la ventana Vista previa de la consulta, que incluye un filtro para explorar todos los hallazgos disponibles.

De forma predeterminada, en la pestaña HALLAZGOS, puedes consultar hallazgos que se dejaron de silenciar y que tienen el estado ACTIVO.

Las dos propiedades de los hallazgos, estado y silenciar, definen su visibilidad en muchos de los filtros que se usan en SCC.

• El analista de seguridad puede configurar el valor Silenciar en los hallazgos, o esto se puede establecer automáticamente si el analista no quiere ver hallazgos no relevantes y poco útiles en la interfaz de SCC.
• La propiedad Estado indica si un hallazgo requiere atención y no se solucionó todavía, o si ya se corrigió o abordó de alguna forma y dejó de estar activo.

Una manera recomendada de administrar el ciclo de vida de los hallazgos y ocultarlos es usar la propiedad “silenciar”. Por lo general, las fuentes de software se encargan de administrar la propiedad “estado”.

5. En la tarjeta “Filtros rápidos”, selecciona la categoría Red predeterminada.

6. Observa que la cadena de consulta en la “Vista previa de la consulta” cambió (ahora tiene AND category="DEFAULT_NETWORK" adjunto).

7. Selecciona la casilla de verificación junto a “Red predeterminada” y, luego, CAMBIAR EL ESTADO ACTIVO.

8. Configura el estado como Inactivo para este hallazgo.

Ahora, se desactivó el hallazgo y se ocultó en la pantalla porque, de forma predeterminada, puedes ver solo hallazgos activos y no silenciados.

9. Restablece la pestaña HALLAZGOS haciendo clic en Descripción general de riesgos y, luego, en Hallazgos, debajo del encabezado de SCC.

10. Ahora presiona el botón EDITAR CONSULTA.

11. Cambia la cadena de consulta en el Editor de consultas a category="DEFAULT_NETWORK".

12. Cuando termines de editar, presiona el botón APLICAR.

13. Asegúrate de que solo veas un hallazgo de “Red predeterminada”.

Si observas el menú del lado izquierdo en “Filtros rápidos”, verás que está seleccionada la casilla de verificación “Mostrar inactivos”. SCC te brinda la flexibilidad necesaria para buscar hallazgos activos y también inactivos. Ahora, deberás revertir el estado de este hallazgo.

14. Selecciona la casilla de verificación junto a “Red predeterminada” y, luego, CAMBIAR EL ESTADO ACTIVO.

15. Configura el estado como Activo para este hallazgo.

Los hallazgos pueden activarse y desactivarse manualmente, pero los usuarios no pueden borrarlos. Se quitan automáticamente solo cuando no se actualizan en 13 meses por algún análisis.

Cuando se verifica un mismo hallazgo con un análisis de seguridad y no se detecta el parámetro de configuración incorrecto que desencadenó ese hallazgo, este se marca como “INACTIVO”. Si la vulnerabilidad todavía está presente en el sistema, el hallazgo conservará el estado “ACTIVO”.

16. Restablece la pestaña de hallazgos haciendo clic en el botón Borrar todo junto a Filtros rápidos.

17. En la ventana “Vista previa de la consulta”, haz clic en Editar consulta.

18. Ahora copia y pega la siguiente consulta:

state="ACTIVE" AND NOT mute="MUTED" AND resource.type="google.compute.Subnetwork"

19. Cuando termines de editar, presiona el botón APLICAR.

Ahora, deberías ver todos los hallazgos relacionados con subredes. Nuestra red de VPC predeterminada se creó con el parámetro --subnet-mode=auto para que no se habilite la opción Acceso privado a Google en ninguna de sus subredes y para que ninguna de las subredes escriba registros de flujos de VPC.

Imagina que estamos trabajando en un entorno de pruebas, por lo que no queremos ver hallazgos de SCC sobre Acceso privado a Google en esta red.

20. En la ventana “Filtros rápidos”, selecciona la categoríaAcceso privado a Google inhabilitado.

21. Ahora haz clic en la casilla de verificación Categoría para que se seleccionen todos los hallazgos con “Acceso privado a Google inhabilitado”.

22. Ahora haz clic en el botón OPCIONES PARA SILENCIAR.

23. Luego, haz clic en Silenciar. Con esa operación, se silencian los hallazgos existentes.

24. Para restablecer la consulta de hallazgos, haz clic en Descripción general de riesgos y, luego, en Hallazgos.

Ahora que se silenciaron los hallazgos con “Acceso privado a Google inhabilitado”, ya no verás ninguno en la consola. Como puedes observar, silenciar es una manera eficiente de filtrar los resultados de Security Command Center. Además, esto brinda un control detallado sobre los recursos y los hallazgos que te interesan.

Otra configuración incorrecta de la red predeterminada es que los registros de flujo de VPC también están inhabilitados en las subredes de esta red. Como estamos trabajando en un entorno de pruebas, no necesitamos que estén habilitados los registros de flujos de VPC. Por ello, silenciaremos todos los hallazgos existentes y futuros relacionados con esa categoría.

25. Haz clic en el botón OPCIONES PARA SILENCIAR > Crear regla de silenciamiento.

Nota: Crearás parámetros de configuración de SCC que silenciarán todos los hallazgos nuevos y existentes que cumplan los criterios, definidos en el campo “Consulta de hallazgos”. Ten en cuenta que antes silenciamos los hallazgos existentes con “Acceso privado a Google inhabilitado” (PGA).

Esa fue una operación que solo se realiza una vez, y los hallazgos nuevos sobre PGA inhabilitado se informarán en SCC. Si creas una regla de silenciamiento, silenciarás de manera eficaz todos los hallazgos nuevos y existentes.

26. En la ventana que se abre, escribe un nuevo ID de regla de silenciamiento: muting-pga-findings.

27. En la descripción de la regla de silenciamiento, escribe Regla de silenciamiento para registros de flujos de VPC.

28. En la “consulta de hallazgos”, escribe el siguiente filtro:

category="FLOW_LOGS_DISABLED"

29. Ahora presiona el botón GUARDAR.

Deberías ver una notificación en la parte inferior de la consola que dice que se creó una regla de silenciamiento.

Crear una regla de silenciamiento

30. Ahora, para actualizar el panel principal de SCC, selecciona Hallazgos en el menú de la izquierda.

31. Asegúrate de que no veas ningún hallazgo con “Acceso privado a Google inhabilitado” ni “Registros de flujo inhabilitados”.

Nota: Si sigues viendo alguno de esos hallazgos, actualiza la pestaña del navegador.

Ahora, crearemos una red más con subredes configuradas automáticamente.

32. Abre una nueva sesión de Cloud Shell () y ejecuta el siguiente comando para crear la red:

gcloud compute networks create scc-lab-net --subnet-mode=auto

33. Asegúrate de tener un resultado similar al siguiente:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-03-c6821aef4c0f/global/networks/SCC-lab-net]. NAME: SCC-lab-net SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: Crear una red

34. Cierra la ventana de Cloud Shell después de verificar el mensaje que se muestra arriba.

35. Actualiza la ventana de hallazgos de SCC. Verás que hay un hallazgo creado recientemente con “Acceso privado a Google inhabilitado”, pero que no hay ninguno sobre registros de flujos de VPC (eso se debe a que antes se creó la regla de silenciamiento).

36. A pesar de que creamos reglas de silenciamiento para registros de flujos de VPC, SCC te sigue permitiendo verlos con el editor de consultas.

37. Haz clic en el botón Editar consulta y pega lo siguiente:

category="FLOW_LOGS_DISABLED"

38. Ahora haz clic en Aplicar.

39. Consulta la tabla de resultados de la consulta de hallazgos. En la columna “Nombre visible del recurso”, verás ambas redes: “defaults” y “SCC-lab-net”.

Nota: Si no ves la red predeterminada, asegúrate de que el parámetro "Filas por página" esté configurado en 100. Puedes ver ese parámetro en la esquina inferior derecha de la página. Verifica también que el parámetro “Intervalo de tiempo” esté configurado en el valor “Todo el período”.

40. En la ventana “Vista previa de la consulta”, haz clic en Editar consulta.

41. Ahora copia y pega la siguiente consulta:

state="ACTIVE" AND NOT mute="MUTED"

42. Cuando termines de editar, presiona el botón APLICAR.

43. Ahora investigaremos y corregiremos dos hallazgos con gravedad alta.

44. En la sección Filtros rápidos, selecciona la opción Alta de la lista de opciones de gravedad.

Deberías ver dos hallazgos: “Puerto RDP abierto” y “Puerto SSH abierto”. Se iniciaron porque la red “predeterminada” incluye dos reglas de firewall que habilitan el tráfico de SSH y RDP para todas las instancias en esa red de todo Internet.

45. Haz clic en el hallazgo Puerto RDP abierto.

Se abrirá una ventana nueva. En esa ventana, encontrarás una descripción detallada del problema, una lista de los recursos afectados y algunos “Próximos pasos” que te ayudarán a solucionarlo.

46. Haz clic en el vínculo para ir a la página de reglas de firewall. Se abrirá una pestaña nueva.

47. Haz clic en la regla de firewall default-allow-rdp.

48. Haz clic en EDITAR.

49. Borra el rango de IP de origen 0.0.0.0/0.

50. Agrega el siguiente rango de IP de origen 35.235.240.0/20 y presiona Intro.

Nota: Ese rango de direcciones IP se usa para conectarte a instancias de VM de manera segura por medio de Identity-Aware Proxy. Para obtener más información, consulta la página Usa IAP para el redireccionamiento de TCP.

51. No cambies ningún otro parámetro.

52. Haz clic en GUARDAR.

53. Después de guardar, cierra la pestaña del navegador en la que editaste la regla de firewall.

54. Actualiza la pestaña del navegador del hallazgo de SCC.

55. Ahora deberías ver un solo hallazgo con una gravedad “Alta” y el tipo “Puerto SSH abierto”.

56. Haz clic en el hallazgo de Puerto SSH abierto.

57. Haz clic en el vínculo para ir a la página de reglas de firewall. Se abrirá una pestaña nueva.

58. Haz clic en la regla de firewall default-allow-ssh.

59. Haz clic en EDITAR.

60. Borra el rango de IP de origen 0.0.0.0/0.

61. Agrega el siguiente rango de IP de origen 35.235.240.0/20 y presiona Intro.

62. No cambies ningún otro parámetro.

63. Haz clic en GUARDAR.

64. Después de guardar, cierra la pestaña del navegador en la que editaste la regla de firewall.

Actualizar las reglas de firewall

65. Ahora, cierra la ventana que tiene una descripción del hallazgo y actualiza la ventana del navegador.

66. No deberías ver ningún hallazgo con gravedad alta.

Usaste correctamente Security Command Center para identificar y corregir vulnerabilidades de seguridad críticas en tu entorno de Google Cloud.

¡Felicitaciones!

En este lab, aprendiste a explorar los elementos de interfaz de SCC, definir la configuración de SCC a nivel de proyecto y analizar y corregir vulnerabilidades de SCC.

Próximos pasos y más información

• Consulta el lab Analiza hallazgos con Security Command Center.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 29 de abril de 2024

Prueba más reciente del lab: 29 de abril de 2024

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.